Post-Quantum-Kryptografie: Kandidat SIKE mit Laptop geknackt

Kryptologen gelang es, einen effizienten Angriff auf das Quantencomputer-resistente Verfahren SIKE zu finden und ganz ohne Quantencomputer durchzuführen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 36 Beiträge

(Bild: Den Rise/Shutterstock.com)

Von
  • Wilhelm Drehling

Das National Institute of Standards and Technology (NIST) sucht seit 2016 Quantencomputer-resistente Verschlüsselungen und digitale Signaturen. Vier Verfahren sind schon standardisiert, aber nun scheint es, als würde einer der vielversprechendsten übrig gebliebenen Kandidaten geknackt worden zu sein. Daran war aber kein Quantencomputer beteiligt, sondern nur zwei Wissenschaftler mit einem Laptop, die das Schicksal des Schlüsselaustausch-Verfahrens SIKE in knapp einer Stunde besiegelten.

Am Wochenende veröffentlichten Wouter Castryck und Thomas Decru ein Paper mit dem Titel: "An Efficient Key Recovery Attack on SIDH". In diesem beschreiben sie einen ganz und gar nicht trivialen Angriff auf SIDH (Supersingular Isogeny Diffie-Hellman), auf dem das Schlüsselaustausch-Verfahren SIKE beruht.

Die Autoren konnten mit ihrem Angriff SIKEp434 (das vom NIST niedrigste verlangte Sicherheitslevel) in 62 Minuten auf einem Laptop knacken, wobei das Programm nur auf einem Prozessor lief. Größere Versionen wie SIKEp503 (2h 19m), SIKEp610 (8h 15m) und SIKEp751 (20h 37m) hielten ebenfalls nicht stand.

Erst letzten Monat hat das NIST die Verschlüsselung CRYSTALS-Kyber und die digitalen Signaturen CRYSTALS-Dilithium, Falcon und SPHINCS+ standardisiert. Keiner von denen basiert auf dem gleichen mathematischen Problem wie SIKE, weshalb die Empfehlungen weiterhin als sicher gelten.

SIKE gehörte zu den vier Kandidaten, die eine weitere Runde durchlaufen sollten. Das Schlüsselaustausch-Verfahren glänzte mit kleinen Schlüsseln, litt aber unter vergleichsweisen langen Laufzeiten. Ursprünglich stand das NIST einer künftigen Standardisierung SIKE positiv gegenüber, der Angriff läutet aber höchstwahrscheinlich das Ende des Verfahrens ein.

Das ist übrigens nicht das erste Mal, dass ein vielversprechender Kandidat plötzlich fällt: Anfang 2022 beschrieb Ward Beullens in seinem Paper "Breaking Rainbow Takes a Weekend on a Laptop" einen erfolgreichen Angriff auf die digitale Signatur RAINBOW. RAINBOW war einer der Finalisten im NIST-Auswahlverfahren und gehörte wie SIKE zu den alternativen Verfahren, die nicht auf Gitternetzen basieren.

(wid)